<template>
  <div class="tips">
    <p>
      1:检测到当前主机存在修改用户密码的操作,攻击者可能会在爆破成功之后对当前用户的密码进行更改用以阻止管理员排查;
    </p>
    <p>2:请根据告警数据中的$argv参数结合[ps aux | grep</p>
    $pid]命令(pid信息可以从告警信息获取)进行排查,确认当前操作是否属于正常的业务行为,如果是正常业务行为,可将该告警加白处理;
    3:如果确认是恶意操作,请检查系统登录日志以及当前系统登陆登录用户,确认没有未知用户登录,同时结束恶意进程[kill
    -9 $pid](pid信息可以在告警数据中获取); 4:对失陷主机进行应急响应处置分析，排查可能遗留的后门文件;
    5:结合上下文的告警事件确定入侵来源和影响范围。
  </div>
</template>
<script setup></script>
<style lang="scss" scoped>
.tips {
  width: 300px;
}
</style>
